前段時間一位朋友聊到路由器/防火墻的安全策略配置，說他單位的路由器中的防火墻規則是在內網到外網、外網到內網兩個方向主要封堵了135、445之類的關鍵端口，其它則是默認允許。從他給的配置規則示例看，沿用的包過濾方式，之所以如此配置，是因為他們怕封了不該封的端口，造成單位內部無法訪問互聯網。通過在網上查看他們單位路由器對應型號的技術手冊，該路由器型號是支持狀態檢測防火墻的。如果配置成狀態檢測方式，那么按他們單位的需求，外網到內網則可僅配置成默認拒絕即可，能夠大幅降低外網對內網的安全威脅。

下面我們以圖1為例，來看看包過濾與狀態檢測防火墻的主要區別在哪里。

圖1

圖中路由器/防火墻的安全策略默認是內網到外網、外網到內網雙向拒絕訪問。當內部局域網中的PC1（IP地址10.1.1.1）訪問外部互聯網中的Web服務器（IP地址39.156.66.14，端口80）時

一、采用包過濾方式，需要在路由器/防火墻中配置如下規則：

即：

1、由內網向外網的方向允許（PC1的）源IP地址為10.1.1.1、源端口為任意（一般是大于1024~65535之間的一個隨機端口）、協議為TCP，到（Web服務器的）目的IP地址為39.156.66.14、目的端口為80的數據包通過。

2、由外網向內網的方向允許（Web服務器的）源IP地址為39.156.66.14、源端口為80、協議為TCP，到（PC1的）目的IP地址為310.1.1.1、目的端口為任意（事先無法客戶端分配的隨機端口）的數據包通過。

可見，包過濾防火墻需要配置由內向外和由外向內的兩條規則，且這兩條規則是靜態的一直起作用。另外因為PC1訪問服務器時的端口號是隨機的，因此在由外網向內網的方向上，允許全部目的端口通過，進一步增加了風險。

二、采用狀態檢測方式，則僅需要在路由器/防火墻中配置由內網向外網方向的一條規則，如下所示：

而由外網向內網的方向不需要手工進行配置，而是在PC1到Web服務器的數據包通過后，由防火墻動態的建立一條臨時會話——允許Web服務器到PC1的數據包通過。當PC1與服務器之間沒有數據通信后，該臨時會話會在定時器超時后被刪除；另外因為PC1通過Web服務器的數據包的端口號已確定，因此在由外網向內網的方向上，允許的目的端口號是明確的而不是全部開放，進一步減小了風險。

因此包過濾與狀態檢測防火墻的主要區別是：

1、包過濾防火墻需要雙向靜態配置，配置后一直存在；狀態檢測防火墻僅需單向靜態配置，另外一個方向由防火墻自動動態建立臨時會話放行——用過后會自動刪除。

2、包過濾防火墻，服務器到客戶端的目的端口需要全部打開；狀態檢測防火墻，服務器到客戶端的目的端口僅按需開放。

以上輸入和描述可能有疏漏、錯誤，歡迎大家在下方評論區留言指正！

另以上文字如有幫助，望不吝轉發！

頭條主頁：https://m.toutiao.com/is/J9jM5MW/

總結

以上是生活随笔為你收集整理的包过滤与状态检测防火墙的区别浅述(包过滤防火墙与状态检测防火墙的区别)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。